Diakin tietosuojapolitiikka

Diakonia-ammattikorkeakoulun johtoryhmä on hyväksynyt tämän henkilötietojen suojaa koskevan politiikan ammattikorkeakoulun henkilökuntaa ja opiskelijoita sitovaksi säännöstöksi 27.2.2018. Johtoryhmä on viimeksi uudelleen katselmoinut politiikan 20.11.2018 ja hyväksynyt sen.

Yleistä

Tietosuojalla tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen suojaamista.

Diakonia-ammattikorkeakoulun tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.

Diakonia-ammattikorkeakoulu on sitoutunut noudattamaan EU:n yleistä tietosuoja-asetusta (2016/679) ja siihen liittyvien lakien ja muiden normien vaatimuksia.

Tämä politiikka koskee kaikkia ammattikorkeakoulun vastuulla olevia henkilötietoja ja niiden käsittelyä riippumatta niiden käsittelypaikasta, välineistä tai muista järjestelyistä.

Diakonia-ammattikorkeakoulu varmistaa, että tätä tietosuojapolitiikkaa ja lainsäädäntöä noudatetaan ja että politiikka pysyy ajankohtaisena ja sitä tarkistetaan muutostarpeita vastaavaksi.

Selosteet

Diakonia-ammattikorkeakoulu ylläpitää lain ja asetusten vaatimaa tietosuojailmoitusta vastuullaan olevista käsittelytoimista.

Periaatteiden toteuttaminen on selostettu tarkemmin Diakonia-ammattikorkeakoulun toiminnan eri alueiden tietosuojaselosteissa.

Henkilötietojen käsittelyn periaatteet ja toteuttaminen

Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

  1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  2. Käyttötarkoitussidonnaisuus
  3. Tietojen minimointi
  4. Täsmällisyys
  5. Säilytyksen rajoittaminen
  6. Eheys ja luottamuksellisuus

Periaatteet toteutetaan mm. siten että:

  1. henkilötiedon käsittelyllä on lainmukainen käsittelyperuste
  2. henkilöille, joiden tietoja käsitellään, annetaan riittävät tiedot käsittelystä
  3. Käsittely rajoitetaan käyttötarkoituksen mukaisesti
  4. Käsittelyssä noudetaan tietoturvaa koskevia määräyksiä
  5. opiskelijat ja työntekijät, jotka käsittelevät henkilötietoja ovat suorittaneet tietosuojakoulutuksen
  6. niille henkilöille, joiden henkilötietoa käsitellään, annetaan tehokkaat mahdollisuudet toteuttaa oikeuksiaan ja heidän pyyntöihinsä reagoidaan viivytyksettä
  7. henkilötietojen käsittelyn riskejä arvioidaan käsittelyn kohteena olevan henkilön näkökulmasta, riskit minimoidaan esimerkiksi pseudonyymisoinnin avulla ja käsittelyä koskeva vaikutustenarviointi suoritetaan jos riskit ovat suuret
  8. käsitellään vain tarpeellisia henkilötietoja
  9. huolehditaan tietojen oikeellisuudesta
  10. tietojenkäsittelytoimet dokumentoidaan
  11. tietojenkäsittelyn toimintatapoja arvioidaan säännöllisesti’
  12. noudatetaan sisäänrakennetun tietosuojan periaatetta

Diakonia-ammattikorkeakoulun on pystyttävä osoittamaan, että yllä mainittuja henkilötietojen käsittelyn periaatteita noudatetaan. Periaatteiden toteutuminen kuvataan vuosittaisessa tietotilinpäätöksessä.

Diakonia-ammattikorkeakoulun on varmistettava työnantajan roolissa, että jokainen työntekijä ymmärtää periaatteiden merkityksen ja noudattaa niitä sekä huolehtii henkilötietojen erityisryhmiin kuuluvien tietojen (arkaluonteiset henkilötiedot) tarkemmista käsittelyehdoista ja suojaamisesta.

Tietoja voivat käyttää ainoastaan niitä työssään tarvitsemat henkilöt ja työtehtävänsä suorittamisen edellyttämässä laajuudessa. Tietoja voi luovuttaa ainoastaan henkilön itsensä suostumuksella tai lainsäädännön nojalla.

Sisäänrakennettu suoja

Diakonia-ammattikorkeakoulun työntekijät, jotka ovat vastuussa uusien tai merkittävästi muuttuneiden henkilötietoja käsittelevien järjestelmien määrittelemisestä ja suunnittelusta ottavat huomioon henkilötietojen suojan ja suoritettavat tarpeelliset vaikutustenarvioinnit.

Tutkimus-, opinto- tai muu projekti voi myös vaatia tietosuojaa koskevan vaikutustenarvioinnin suorittamisen, jos henkilötietojen käsittely aiheuttaa riskejä käsittelyn kohteille.

Tutkimuksen tietosuojaa koskeva vaikutustenarviointi on osa tutkimuseettistä arviointiprosessia.

Vastuut

Diakonia-ammattikorkeakoulu valvoo tietosuojalainsäädännön noudattamista toiminnassaan suorittamalla sisäistä valvontaa, auditointeja, opastusta ja ohjausta. Diakonia-ammattikorkeakoulu tuottaa ohjeet tarvittavien teknisten ja organisatoristen toimenpiteiden täyttämiseksi eri ammattikorkeakoulun toiminnoissa.

Rekisteröidyn oikeudet

Diakonia-ammattikorkeakoulu huolehtii rekisteröityjen oikeuksista lain ja asetuksen mukaisesti. Rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista ja vastustaa käsittelyä. Poistamisoikeus ei ulotu henkilötietoihin, joita ammattikorkeakoulu käsittelee lakisääteisen tehtävän perusteella, yleisen edun vuoksi, tai joihin ammattikorkeakoululla on muu säilyttämisvelvoite.

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle.

Rekisteröidyllä voi olla oikeus siirtää tiedot järjestelmästä toiseen, mikäli kyseessä on sellainen tieto, johon kyseinen oikeus soveltuu.

Toimenpiteet

Diakonia-ammattikorkeakoulu kouluttaa koko henkilökunnan tietosuojan peruskäsitteisiin ja toimenpiteisiin, ja tarjoaa syvällisempää koulutusta sitä tarvitseville.

Diakonia-ammattikorkeakoululla on tietosuojavastaava.

Tietosuojavastaava vastaa kysymyksiin, jotka liittyvät tähän tietosuojapolitiikkaan, ammattikorkeakoulun tietosuoja-asetuksen ja muun henkilötietoja koskevan lainsäädännön noudattamiseen ja henkilötietojen käsittelyyn ammattikorkeakoulussa.

Tämän lisäksi, tietosuojavastaavan tehtäviin kuuluvat seuraavat asiat:

a) valvoa, että tätä tietosuojapolitiikkaa noudatetaan;
b) toimia valvontaviranomaisen yhteyshenkilönä; ja
c) antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista, valvoo ja kehittää tietosuojakäytänteitä.

Rekisterikohtaisiin tiedusteluihin vastaavat ilmoituksiin ja selosteisiin merkityt yhteydenottopisteet.

Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille

Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan Diakonia-ammattikorkeakoulun sisäisissä viestintäkanavissa.

Diakonia-ammattikorkeakoulun tietosuojapolitiikka on voimassa toistaiseksi. Se on asiakirjana julkinen ja saatavissa ammattikorkeakoulun ulkoisilta ja sisäisiltä verkkosivuilta.